開發/測試環境中的 GDPR 探索、保護和報告
摘要:展示 Microsoft 365 中的 GDPR 功能。
本文將說明如何在 Microsoft 365 開發/測試環境中設定及展示一般資料保護規定 (GDPR) 的個人識別資訊 (PII) 探索、保護及報告。
階段 1:建立及設定您的 Microsoft 365 訂閱試用版
首先,請遵循 Microsoft 365 開發/測試環境階段 2 文章中的步驟進行。
接下來,請使用下列步驟來設定電子文件探索管理員:
- 使用全域系統管理員帳戶登入 Microsoft 365 試用版租用戶。
- 從 Microsoft 365 首頁上,按一下 [安全性與合規性]。
- 在新的 [安全性與合規性] 索引標籤中,按一下 [權限] > [電子文件探索管理員]。
- 按一下 [電子文件探索管理員] 的 [編輯],然後按一下 [選擇電子文件探索管理員]。
- 按一下 [+ 新增]、搜尋您的全域系統管理員帳戶名稱,然後以電子文件探索管理員身分新增您的全域系統管理員帳戶。
- 按一下 [完成] > [儲存] > [關閉]。
階段 2:將個人識別資訊新增至租用戶
在這個階段中,您要使用 PII 建立一組範例國際銀行帳號 (IBAN) 的文件,並將其儲存在您 Microsoft 365 開發/測試環境中的 SharePoint Online 網站上。
在本機電腦上,開啟 Microsoft Word。
在 Word 檔案中將下表貼上,並在本機電腦上將它儲存為 'IBANs.docx'。
數字 國家/地區 代碼 IBAN 1 奧地利 SEPA AT AT611904300234573201 2 保加利亞 SEPA BG BG80BNBG96611020345678 3 丹麥 SEPA DK DK5000400440116243 4 芬蘭 SEPA FI FI2112345600000785 5 法國 SEPA FR FR1420041010050500013M02606 6 德國 SEPA DE DE89370400440532013000 7 希臘 SEPA GR GR1601101250000000012300695 8 義大利 SEPA IT GR1601101250000000012300695 9 荷蘭 SEPA NL NL91ABNA0417164300 10 波蘭 SEPA PL PL27114020040000300201355387 附註:此範例資料集衍生自公開提供的資訊,而且旨在用於測試目的而已。
在瀏覽器的新索引標籤中,輸入:https://< YourTenantName.sharepoint.com>
按兩下 [檔案 ] 以開啟此網站的文件庫。 如果系統提示您進行新的清單體驗導覽,請按 [ 下一步 ],直到完成為止。
按一下 [上傳] > [檔案],然後選取您在步驟 2 中建立的 IBANs.docx。
階段 3:展示資料探索
在這個階段中,您展示的搜尋會根據包含 IBAN 的內容,尋找在階段 2 中所建立及儲存的文件。
在 [安全性與合規性] 索引標籤中,按一下 [首頁],然後按一下 [搜尋與調查] > [內容搜尋]。
按兩下 +建立新的搜尋專案。
請在新的視窗中提供下列資訊:a. 名稱:IBAN 搜尋 b. 您要我們尋找的位置?:選擇要搜尋的特定網站 (按兩下 + [) ],然後輸入網站的URL:https://< YourTenantName.sharepoint.com/> c。 按一下 [新增],然後按一下 [確定]。 如果您看到 [警告],請按兩下 [ 確定]。D。 在 [新的搜尋] 視窗上按 [下一步]。 e. 針對您需要我們尋找什麼?:SensitiveType:「國際銀行帳號 (IBAN)」,然後按一下 [搜尋]。
請確定您看到至少一個項目列在 IBAN 搜尋結果中。
階段 4:透過 PowerShell 建立自訂的敏感資訊類型
在此階段中,您會使用 Microsoft PowerShell 為虛構的 Contoso Corporation 建立自定義敏感性資訊類型。 Contoso 會使用 Contoso 客戶編號 (CCN) 來識別其客戶資料庫中的每個客戶。 CCN 包含下列結構:
- 兩位數表示記錄所建立的年份。
- Contoso 成立於 2002 年;因此,可能的最早值是 02。
- 三位數代表建立記錄的夥伴機構。
- 可能的機構值範圍介於 000 到 999。
- 以字母字元來代表企業營運。
- 可能的值是 a 到 z,且應該不區分大小寫。
- 一個四位數序號。
- 可能的序號值範圍從 0000 到 9999。
Contoso 一律會在內部通訊、外部通訊、檔和其他形式中使用CCN來參考客戶。 Contoso 需要自定義敏感性項目類型來偵測 Microsoft 365 內容中 CCN 的使用,以便它們可以套用保護來使用這種形式的個人標識資訊。
在連線到安全性與合規性中心 PowerShell中,使用多重要素驗證 (MFA) 連線指示,並使用您全域系統管理員帳戶的 UPN 連線至安全性與合規性中心。
執行下列 PowerShell 命令。
#Create & start search for sample data $searchName = "Sample Customer Information Search" $searchQuery = "15080P9562 OR 14040O1119 OR 15020J8317 OR 14050E2330 OR 16050E2166 OR 17040O1118" New-ComplianceSearch -Name $searchName -SharePointLocation All -ExchangeLocation All -ContentMatchQuery $searchQuery Start-ComplianceSearch -Identity $searchName#Create & start search for sample data $searchName = "Sample Customer Information Search" $searchQuery = "15080P9562 OR 14040O1119 OR 15020J8317 OR 14050E2330 OR 16050E2166 OR 17040O1118" New-ComplianceSearch -Name $searchName -SharePointLocation All -ExchangeLocation All -ContentMatchQuery $searchQuery Start-ComplianceSearch -Identity $searchName請執行下列 PowerShell 命令,並以產生的 GUID 所列出的順序,將 GUID 複製到電腦上 [記事本] 的開啟執行個體。
#Generate three unique GUIDs Write-Host "GUID1 = "([guid]::NewGuid().Guid) Write-Host "GUID2 = "([guid]::NewGuid().Guid) Write-Host "GUID3 = "([guid]::NewGuid().Guid)在您的本機電腦上,開啟另一個 [記事本] 的執行個體,並將下列內容貼入:
<?xml version="1.0" encoding="utf-8"?> <RulePackage xmlns="https://schemas.microsoft.com/office/2011/mce"> <RulePack id="GUID1"> <Version major="1" minor="0" build="0" revision="0" /> <Publisher id="GUID2" /> <Details defaultLangCode="en"> <LocalizedDetails langcode="en"> <PublisherName>Contoso Ltd.</PublisherName> <Name>Contoso Rule Package</Name> <Description>Defines Contoso's custom set of classification rules</Description> </LocalizedDetails> </Details> </RulePack> <Rules> <!-- Contoso Customer Number (CCN) --> <Entity id="GUID3" patternsProximity="300" recommendedConfidence="85"> <Pattern confidenceLevel="85"> <IdMatch idRef="Regex_contoso_ccn" /> <Match idRef="Keyword_contoso_ccn" /> <Match idRef="Regex_eu_date" /> </Pattern> </Entity> <Regex id="Regex_contoso_ccn">[0-1][0-9][0-9]{3}[A-Za-z][0-9]{4}</Regex> <Keyword id="Keyword_contoso_ccn"> <Group matchStyle="word"> <Term caseSensitive="false">customer number</Term> <Term caseSensitive="false">customer no</Term> <Term caseSensitive="false">customer #</Term> <Term caseSensitive="false">customer#</Term> <Term caseSensitive="false">Contoso customer</Term> </Group> </Keyword> <Regex id="Regex_eu_date"> (0?[1-9]|[12][0-9]|3[0-1])[\/-](0?[1-9]|1[0-2]|j\x00e4n(uar)?|jan(uary|uari|uar|eiro|vier|v)?|ene(ro)?|genn(aio)? |feb(ruary|ruari|rero|braio|ruar|br)?|f\x00e9vr(ier)?|fev(ereiro)?|mar(zo|o|ch|s)?|m\x00e4rz|maart|apr(ile|il)?|abr(il)?|avril |may(o)?|magg(io)?|mai|mei|mai(o)?|jun(io|i|e|ho)?|giugno|juin|jul(y|io|i|ho)?|lu(glio)?|juil(let)?|ag(o|osto)?|aug(ustus|ust)?|ao\x00fbt|sep|sept(ember|iembre|embre)?|sett(embre)?|set(embro)?|oct(ober|ubre|obre)?|ott(obre)?|okt(ober)?|out(ubro)? |nov(ember|iembre|embre|embro)?|dec(ember)?|dic(iembre|embre)?|dez(ember|embro)?|d\x00e9c(embre)?)[ \/-](19|20)?[0-9]{2}</Regex> <LocalizedStrings> <Resource idRef="GUID3"> <Name default="true" langcode="en-us">Contoso Customer Number (CCN)</Name> <Description default="true" langcode="en-us">Contoso Customer Number (CCN) that looks for additional keywords and EU formatted date</Description> </Resource> </LocalizedStrings> </Rules> </RulePackage>將步驟 4 的 XML 文字中 GUID1、GUID2 和 GUID3 的值取代為其在步驟 3 中的值,然後使用 ContosoCCN.xml 的名稱,將內容儲存在本機電腦上。
填入您 ContosoCCN.xml 檔案的路徑,然後執行下列命令。
#Create new Sensitive Information Type $path="<path to the ContosoCCN.xml file, such as C:\Scripts\ContosoCCN.xml>" New-DlpSensitiveInformationTypeRulePackage -FileData (Get-Content -Path $path -Encoding Byte -ReadCount 0)從 [安全性 & 合規性] 索引標籤,按兩下 [ 分類>敏感性資訊類型]。 您應該會在清單中看到 Contoso 客戶編號 (CCN) 。
階段 5:展示資料保護
Microsoft 365 中個人資訊的保護,包括使用資料外洩防護 (DLP) 功能。 您可以使用 DLP 原則自動保護整個 Microsoft 365 的敏感性資訊。
有多種方式可以套用保護。 教育並提高對歐盟常駐數據儲存在您環境中的位置,以及如何允許您的員工處理數據的認知,代表使用 Office 365 DLP 的一層信息保護。
在這個階段中,您會建立新的 DLP 原則,並展示如何將其套用至您在階段 2 的 SharePoint Online 中儲存的 IBANs.docx 檔案,以及您何時要嘗試傳送包含 IBAN 的電子郵件。
從瀏覽器的 [安全性與合規性] 索引標籤中,按一下 [首頁]。
按一下 [資料遺失防護] > [原則]。
按一下 [+ 建立原則]。
在 [從範本開始] 或 [建立自訂原則] 中,按一下 [自訂] > [自訂原則] > [下一步]。
在 [為您的原則命名] 中提供下列詳細數據,然後按 [ 下一步:a]。 名稱: 歐盟公民 PII 原則 b. 描述: 保護歐洲公民的個人標識資訊
在 [選擇位置] 中,選取 [Microsoft 365 中的所有位置]。 這包括 Exchange 電子郵件和 OneDrive 和 SharePoint 檔中的內容。 然後按 [ 下一步]。
在 [自訂您要保護的內容類型] 中,按一下 [尋找內容中包含:],然後按一下 [編輯]。
在 [選擇要保護的內容類型] 中,按一下 [新增] > [敏感資訊類型]。
在 [敏感資訊類型] 中,按一下 [+ 新增]。
在 [敏感資訊類型] 中,搜尋 IBAN、選取 [國際銀行帳號 (IBAN)] 的核取方塊,然後按一下 [新增]。
請確認已新增 [國際銀行帳號 (IBAN)] 敏感資訊類型,然後按一下 [完成]。
在 [內容包含] 中,確認已新增敏感資訊類型,然後按一下 [儲存]。
在 [自定義您要保護的內容類型] 中,確認 [尋找包含的內容: 包含國際銀行帳戶號碼 (IBAN) ,然後按 [下一步]。
在 [當共用的內容中包含以下項目時進行偵測:],將值從 10 變更為 1,然後按 [下一步]。
在 [要先開啟原則或測試內容嗎?] 中,選擇下列設定,然後按 [下一步]。 a. 選取 [我想要先進行測試] 選項 b. 選取 [在測試模式中顯示原則提示] 的核取方塊
在 [檢閱您的設定] 中,按兩下 [ 檢 閱設定之後建立]。 注意:建立新的 DLP 原則之後,需要一些時間才會生效。
在本機電腦上,開啟瀏覽器的私人執行個體。
在網址列中,輸入 https://<您的租用戶名稱>.sharepoint.com,並使用您的全域系統管理員帳戶登入。
按一下 [文件]。
按兩下名為 『IBANs.docx』 的檔案。 您應該會看到「IBANs.docx 的原則提示」。 IBANs.docx 檔案已與外部收件者共用,這違反 DLP 原則。
在網址列中,輸入:
https://outlook.office365.com按一下 [新增] - [電子郵件訊息],並提供下列內容:
自:<個人電子郵件位址>
主旨:GDPR 測試
本文:複製值表格,如下所示。
數字 國家/地區 代碼 IBAN 1 奧地利 SEPA AT AT611904300234573201 2 保加利亞 SEPA BG BG80BNBG96611020345678 3 丹麥 SEPA DK DK5000400440116243 4 芬蘭 SEPA FI FI2112345600000785 5 法國 SEPA FR FR1420041010050500013M02606 6 德國 SEPA DE DE89370400440532013000 7 希臘 SEPA GR GR1601101250000000012300695 8 義大利 SEPA IT GR1601101250000000012300695 9 荷蘭 SEPA NL NL91ABNA0417164300 10 波蘭 SEPA PL PL27114020040000300201355387
附註:此範例資料集衍生自公開提供的資訊,而且旨在用於測試目的而已。
您會看到 DLP 原則已辨識出電子郵件內文包含 IBAN ,並會在郵件視窗頂端提供原則提示。
關閉瀏覽器的私用執行個體。
階段 6:展示報告
在這個階段中,您要根據階段 5 中所設定的 DLP 原則來展示 Microsoft 365 報告。
- 從瀏覽器的 [安全性與合規性] 索引標籤中,按一下 [首頁]。
- 按一下 [報告] > [儀表板] > [DLP 原則相符項目]。
- 您的 DLP 原則可協助識別及保護組織的敏感性資訊。 例如,在報表中,您會看到原則識別出包含儲存在 SharePoint Online 中 IBAN 的檔。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應